Dariusz_J
(Dariusz J.)
30 Wrzesień 2008 10:49
#1
Witam serdecznie…niestety z innego komputera…
Coś się stało z moim PC lub z Windowsem. Usunąłem wirusy i trojany za Waszą forumową poradą i nie zdążyłem nawet podziękować, bo nie jestem od kilku dni w stanie wejść na Forum. Strona ładuje się w nieskończoność i muszę zamykać w końcu okno prawym przyciskiem myszy.
Na domiar złego, przy wejściu na niektóre strony netowe zaczęły (od tego czasu) wyskakiwać mi okna żądające debugowania skryptów. Piszę o tym, bo nie jestem pewien, czy te dwa problemy nie są ze soba powiązane.
Skanowałem PC kilka razy Kaspersky’m, NOD-em oraz TrojanRemoverem i AdAwarem - wszystko jest niby OK. Często używam też CCLeanera.
Nic nie pomaga - czy jest możliwe, że podczas usuwania trojanów poprzednim razem usunąłem jakis element Windowsa ?
Dziękuję z góry za podpowiedź, co zrobić z tym fantem.
Pozdrawiam,
Jeśli chodzi o funkcję debugowania skryptów zobacz tutaj http://www.searchengines.pl/IE-Jak-wyla … t3915.html
Pobierz Combofix przeskanuj system i daj log na forum.
Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka
Dariusz_J
(Dariusz J.)
30 Wrzesień 2008 14:16
#3
Dziękuję za odpowiedź.
Zastosowałem sie do porad z drugiego wątku i wyłączyłem debugowanie w Opcje Internetowe/Zaawansowane.
A oto log z ComboFix:
ComboFix 08-09-28.05 - Daru 2008-09-30 16:02:29.9 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.177 [GMT 2:00] Uruchomiony z: C:\Documents and Settings\Daru\Moje dokumenty\ComboFix.exe * Utworzono nowy punkt przywracania * Resident AV is active UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\ps1.dat C:\WINDOWS\system32\rc.dat C:\WINDOWS\system32\wsnpoem C:\WINDOWS\system32\wsnpoem\audio.dll.vir C:\WINDOWS\system32\wsnpoem\video.dll.vir . ((((((((((((((((((((((((( Pliki utworzone od 2008-08-28 do 2008-09-30 ))))))))))))))))))))))))))))))) . 2008-09-27 22:57 . 2008-09-27 22:57 2008-09-27 22:57 . 2008-09-27 22:57 2008-09-27 20:31 . 2008-09-27 20:31 2008-09-27 20:31 . 2008-09-27 20:31 2008-09-27 20:30 . 2008-09-27 20:31 2008-09-27 20:30 . 2008-09-27 21:25 2008-09-27 20:21 . 2008-09-27 21:25 2008-09-27 20:21 . 2008-09-27 20:21 . 2007-03-08 01:51 129,784 --------- C:\WINDOWS\system32\pxafs.dll 2008-09-25 22:16 . 2008-09-25 22:16 2008-09-25 22:16 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-09-25 22:15 . 2008-09-25 22:16 2008-09-25 22:08 . 2008-09-25 22:08 2008-09-25 21:11 . 2008-09-25 21:11 2008-09-25 21:11 . 2008-09-25 19:53 . 2008-09-26 01:32 2008-09-25 19:48 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll 2008-09-25 19:48 . 2003-02-02 20:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll 2008-09-25 19:48 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll 2008-09-25 19:48 . 2002-03-06 01:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll 2008-09-25 19:48 . 2006-06-19 13:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll 2008-09-25 19:47 . 2008-09-25 19:49 2008-09-25 19:47 . 2008-09-25 19:47 . 2008-09-25 19:47 2008-09-25 18:16 . 2008-09-25 18:21 2008-09-25 18:16 . 2005-01-13 21:41 53,248 --a------ C:\WINDOWS\system32\process.exe 2008-09-24 19:12 . 2008-09-24 19:12 1 --a------ C:\WINDOWS\system32\bb1.dat 2008-09-24 19:11 . 2008-09-24 19:11 46,592 --a------ C:\WINDOWS\system32\jetaccss.dll 2008-09-24 19:11 . 2008-09-24 19:12 13,286 --a------ C:\WINDOWS\system32\rtc.dat 2008-09-20 22:18 . 2008-09-29 01:00 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-09-20 22:18 . 2008-09-20 22:18 1,409 --a------ C:\WINDOWS\QTFont.for 2008-09-15 20:16 . 2008-09-15 20:16 2008-09-15 20:16 . 2008-09-15 20:03 . 2008-09-08 22:53 . 2008-09-08 20:42 . 2008-09-08 20:42 2008-08-15 15:04 . 2008-08-15 15:04 2008-08-05 00:32 . 2008-08-05 00:33 . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-30 13:54 --------- d-----w C:\Program Files\Neostrada TP 2008-09-27 20:46 --------- d-s—w C:\Documents and Settings\Daruś\Dane aplikacji\Microsoft 2008-09-25 19:14 --------- d–h--w C:\Program Files\InstallShield Installation Information 2008-09-15 17:46 --------- d-----w C:\Program Files\Combined Community Codec Pack 2008-09-08 07:58 --------- d-----w C:\Program Files\INTERIAPL 2008-09-04 16:56 --------- d-----w C:\Program Files\Yahoo! 2008-08-24 21:56 --------- d-----w C:\Program Files\HP 2008-08-15 13:05 --------- d-----w C:\Program Files\Lavasoft 2008-08-15 13:01 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft 2008-07-29 21:08 --------- d-----w C:\Program Files\Windows Media Components 2008-07-29 21:08 --------- d-----w C:\Program Files\V1 Home 2.0 2008-04-21 10:40 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat 2007-04-16 22:21 463 ----a-w C:\Documents and Settings\Daruś\Dane aplikacji\hvsvyngfto[6].dat . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] “{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}”= “C:\Program Files\Winamp Toolbar\winamptb.dll” [2008-07-16 1266992] [HKEY_CLASSES_ROOT\clsid{57bca5fa-5dbb-45a2-b558-1755c3f6253b}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1] [HKEY_CLASSES_ROOT\TypeLib{538CD77C-BFDD-49b0-9562-77419CAB89D1}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Orb”=“C:\Program Files\Winamp Remote\bin\OrbTray.exe” [2008-04-01 507904] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “WOOWATCH”=“C:\PROGRA~1\NEOSTR~1\Watch.exe” [2004-08-23 20480] “WOOTASKBARICON”=“C:\PROGRA~1\NEOSTR~1\GestMaj.exe” [2004-10-14 32768] “LWBMOUSE”=“C:\Program Files\NASDAK\OmniMouse Driver\2.1.23\MOUSE32A.EXE” [2001-11-09 356352] “Adobe Photo Downloader”=“C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe” [2007-03-09 63712] “QuickTime Task”=“C:\Program Files\QuickTime\qttask.exe” [2007-09-17 286720] “HP Software Update”=“C:\Program Files\HP\HP Software Update\HPWuSchd2.exe” [2007-05-08 54840] “Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 39792] “egui”=“C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe” [2008-06-10 1447168] “TrojanScanner”=“C:\Program Files\Trojan Remover\Trjscan.exe” [2008-09-20 922192] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe” [2008-06-10 144784] “WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2008-08-04 36352] “VTTimer”=“VTTimer.exe” [2005-03-07 C:\WINDOWS\system32\VTTimer.exe] “VTTrayp”=“VTtrayp.exe” [2005-01-11 C:\WINDOWS\system32\VTTrayp.exe] “SoundMan”=“SOUNDMAN.EXE” [2004-12-22 C:\WINDOWS\SOUNDMAN.EXE] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2001-10-26 13312] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 288472] HP Photosmart Premier - Szybkie uruchomienie.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 73728] VIA RAID TOOL.lnk - C:\Program Files\VIA\RAID\raid_tool.exe [2007-08-14 585728] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] “vidc.iv31”= C:\WINDOWS\System32\ir32_32.dll “vidc.iv32”= C:\WINDOWS\System32\ir32_32.dll “vidc.mjpg”= mcmjpg32.dll “vidc.ffds”= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] --a------ 2007-03-09 11:09 63712 C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] “UpdatesDisableNotify”=dword:00000001 “AntiVirusDisableNotify”=dword:00000001 “AntiVirusOverride”=dword:00000001 “FirewallOverride”=dword:00000001 R1 epfwtdir;epfwtdir;C:\WINDOWS\System32\DRIVERS\epfwtdir.sys [2008-06-10 34312] R3 e4usbaw;USB ADSL2 WAN Adapter;C:\WINDOWS\System32\DRIVERS\e4usbaw.sys [2006-09-19 116992] S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);C:\WINDOWS\System32\Drivers\e4ldr.sys [2006-09-15 64000] . . ------- Skan uzupełniający ------- . R0 -: HKCU-Main,Start Page = hxxp://www.wp.pl/ R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore O8 -: Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O17 -: HKLM\CCS\Interface{A90F0EFB-1BF7-4C39-A361-DC5064A68205}: NameServer = 194.204.152.34 217.98.63.164 O16 -: {41ACD49D-1974-791A-0981-AA9872721044} - hxxp://download.gamedesire.com/g_bin/pl … 0_0_35.cab C:\WINDOWS\Downloaded Program Files\boards.inf C:\WINDOWS\Downloaded Program Files\boards.dll O16 -: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} - hxxp://download.gamedesire.com/g_bin/pl … 0_0_29.cab C:\WINDOWS\Downloaded Program Files\Navy.inf C:\WINDOWS\Downloaded Program Files\Navy.dll O16 -: {70B410C0-BADA-11D4-8308-0080C8D7ED4A} - hxxp://67.15.101.33/g_bin/pl/bridge_2_0_0_24.cab C:\WINDOWS\Downloaded Program Files\Bridge.inf C:\WINDOWS\Downloaded Program Files\Bridge.dll O16 -: {BFA1F11D-3121-AFE1-4112-894323212DAC} - hxxp://67.15.101.33/g_bin/pl/words_2_0_0_51.cab C:\WINDOWS\Downloaded Program Files\words.inf C:\WINDOWS\Downloaded Program Files\words.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-30 16:04:24 Windows 5.1.2600 NTFS skanowanie ukrytych procesów … skanowanie ukrytych wpisów autostartu … skanowanie ukrytych plików … skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . Czas ukończenia: 2008-09-30 16:05:13 ComboFix-quarantined-files.txt 2008-09-30 14:05:11 Przed: 21˙331˙267˙584 bajt˘w wolnych Po: 21,366,472,704 bajt˘w wolnych 159 Pozdrawiam,
huber2t
(huber2t)
30 Wrzesień 2008 14:18
#4
Pobierz ComboFix , ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
File::
C:\WINDOWS\system32\process.exe
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
Dariusz_J
(Dariusz J.)
30 Wrzesień 2008 14:56
#5
Zrobione !
Oto link do wklejki z logiem: http://wklej.org/id/7628/
Dziękuję i pozdrawiam,
wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka
Dariusz_J
(Dariusz J.)
30 Wrzesień 2008 17:53
#7
huber2t
(huber2t)
1 Październik 2008 03:47
#8
W logu nic nie widzę
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
Dariusz_J
(Dariusz J.)
1 Październik 2008 17:39
#9
Witam Hubert !
http://wklej.org/id/7859/
Czy wszystko OK ?
Pozdrawiam,
Dariusz_J
(Dariusz J.)
2 Październik 2008 16:13
#11
Super, dziękuję serdecznie Wam wszystkim !
Pozostała tylko drobna, “tytularna” sprawa - nadal nie mogę wejść na Forum z domowego PC. Ale to drobiazg, najważniejsze, że nie mam już żadnych świństw w kompie.
Pozdrawiam,